Le Digital Services Act, de quoi parle-t-on ?

Ce nouveau règlement régissant les services numériques, appelé Digital Service Act (DSA), est entré en vigueur le 25 août 2023. L’objectif est simple : responsabiliser et encadrer les activités des plateformesen particulier celles des Gafam afin de traquer les contenus illicites sur leurs sites.

Un nouveau texte novateur européen vient s’ajouter au RGPD et au DMA (Digital Markets Act) : le Digital Services Act. En France, la loi portant sur la régulation de l’espace numérique sera examinée en septembre 2023 à l’Assemblée nationale, avec pour ambition d’adapter le droit français à la réglementation européenne.

Les obligations prévues par ce texte sont déjà entrées en application pour les très grandes plateformes en ligne et les très grands moteurs de recherche depuis le 25 août 2023. Pour le reste des acteurs concernés, la mise en application se fera à partir du 17 février 2024. 

Objectifs du règlement 

L’intention générale du DSA est de responsabiliser les plateformes numériques et de :

  1. Lutter contre la diffusion de contenus illicites ou préjudiciables (contenus illicites ou préjudiciables ou de produits illégaux : attaques racistes, images pédopornographiques, désinformation, vente de drogues ou de contrefaçons, etc.) ;
  2. Mieux protéger les internautes européens et leurs droits fondamentaux (liberté d’expression, protection des consommateurs…) ;
  3. Aider les petites entreprises à se développer ;
  4. Renforcer le contrôle démocratique et la surveillance des très grandes plateformes en vue d’atténuer leurs risques systémiques (manipulation de l’information, etc.).

Le règlement veut mettre en application le principe suivant : ce qui est illégal hors ligne est également illégal en ligne.

Quels sont les acteurs visés par le Digital Services Act ?

Le règlement DSA s’applique à tous les intermédiaires en ligne qui offrent leurs services (biens, contenus ou services) sur le marché européen, peu importe que ces intermédiaires soient établis en Europe ou ailleurs dans le monde.

Sont notamment concernés :

  • Les fournisseurs d’accès à internet (FAI) ;
  • Les services d’informatique en nuage (cloud) ;
  • Les plateformes en ligne comme les “market places, les boutiques d’applications, les réseaux sociaux, les plateformes de partage de contenus, les plateformes de voyage et d’hébergement ;
  • Les très grandes plateformes en ligne et les très grands moteurs de recherche, utilisés par plus de 45 millions d’Européens par mois et qui sont désignés comme tel par la Commission européenne.

Le 25 avril 2023, une première série de ces grands acteurs en ligne a été publiée sur le site de la Commission européenne. Sont visées 17 très grandes plateformes : Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, X (anciennement Twitter), Wikipedia, YouTube et Zalando. Deux très grands moteurs de recherche sont aussi concernés : Bing et Google Search.

Seront également concernées, à partir du 17 février 2024, toutes plateformes et intermédiaires (fournisseurs d’accès à internet, moteurs de recherche, ectc.) quel que soit leur nombre d’utilisateurs.

Amazon ainsi Zalando ont d’ailleurs déjà contesté leur qualification de “très grande plateforme “devant la Cour de justice de l’Union européenne (CJUE). Cette requête pourrait faire l’objet de plusieurs années d’instructions mais en attendant, ces deux sociétés doivent tout de même se conformer au DSA dès le 25 août 2023.

Bon à savoir – Exemptions : les petites entreprises et très petites entreprises (moins de 50 salariés et moins de 10 millions de chiffre d’affaires annuel) n’atteignant pas 45 millions d’utilisateurs seront exemptées de certaines obligations.

Qu’est ce qui change avec le Digital Services Act ?

Le règlement DSA prévoit de nombreuses mesures, graduées selon les acteurs en ligne en fonction de la nature de leurs services et de leur taille.Les très grandes plateformes et les très grands moteurs de recherche sont soumis à des exigences plus strictes.

Tous les acteurs en ligne vont devoir désigner un point de contact unique ou, s’ils sont établis hors UE, un représentant légal et coopérer avec les autorités nationales en cas d’injonction.

Les autres obligations peuvent être classées en trois catégories :

1. Lutter contre les contenus illicites

Les plateformes en ligne vont devoir mettre à disposition des internautes un outil leur permettant de signaler facilement les contenus illicites. En cas de signalement, le contenu illicite devra être rapidement retiré ou sera être bloqué.

Le but ici est de coopérer avec des « signaleurs de confiance ». Le statut de « signaleur de confiance » est attribué dans chaque pays à des entités ou organisations en raison de leur expertise et de leurs compétences.

Les Market places (tels que Aibnb ou Amazon) quant à eux, vont devoir mieux tracer les vendeurs proposant des produits ou services sur leur plateforme. Cela passera par un recueil d’informations précises sur le professionnel avant de l’autoriser à vendre, et en complément une vérification de la fiabilité de celles-ci ainsi qu’une meilleure information des consommateurs.

2. Améliorer la transparence en ligne

–       Modération de contenus : Les plateformes doivent être plus transparentes quant aux décisions en matière de modération de contenus qu’elles mettent en œuvre.

Elles doivent prévoir un système interne de traitement des réclamations permettant aux utilisateurs dont le compte a été suspendu ou résilié de contester cette décision.

Pour la résolution du litige, les utilisateurs peuvent également se tourner vers des organismes indépendants et certifiés dans les pays européens ou saisir leurs juges nationaux.

–       Contenus publicitaires et algorithmes : Les plateformes doivent expliquer le fonctionnement des algorithmes qu’elles utilisent pour recommander certains contenus publicitaires en fonction du profil des utilisateurs.

Surtout, les très grandes plateformes et les très grands moteurs de recherche doivent proposer un système de recommandation de contenus non fondé sur le profilage et mettre à disposition du public un registre des publicités contenant diverses informations (ex : Qui a parrainé l’annonce, comment, pourquoi elle cible tels individus, etc.)

–    Publicité ciblée : La publicité ciblée pour les mineurs devient interdite pour toutes les plateformes, de même que la publicité basée sur des données sensibles comme les opinions politiques, la religion ou l’orientation sexuelle (sauf consentement explicite).

–      Pièges à utilisateurs/Dark patterns : les interfaces trompeuses et les pratiques visant à induire les utilisateurs en erreur (mise en avant de certains choix…) sont désormais prohibées.

3. Atténuation des risques et réponse aux crises

Les grands acteurs doivent également :

  • Analyser annuellement les risques systémiques qu’ils génèrent (Exemple : sur la haine et la violence en ligne, les droits fondamentaux, le discours civique, les processus électoraux, la santé publique…) et prendre les mesures nécessaires pour atténuer ces risques (Exemple : respect de codes de conduite, suppression des faux comptes, visibilité accrue des sources d’information faisant autorité…) ;
  • Effectuer tous les ans des audits indépendants de réduction des risques, sous le contrôle de la Commission européenne ;
  • Fournir les algorithmes de leurs interfaces à la Commission et aux autorités nationales compétentes ;
  • Accorder un accès aux données clés de leurs interfaces aux chercheurs pour qu’ils puissent mieux comprendre l’évolution des risques en ligne ;
  • Assurer une meilleure protection des mineurs en ligne ;
  • Mettre en place un mécanisme de réaction aux crises touchant la sécurité ou la santé publique. La Commission européenne pourra demander aux grands acteurs une analyse des risques que posent leurs interfaces lorsqu’une crise émerge, notamment concernant la sécurité ou la santé publique, et leur imposer la mise en place des mesures d’urgence temporaires.

Quel contrôle ?

Dans tous les pays de l’UE, un “coordinateur des services numériques“, autorité indépendante désignée par chaque État membre, est instauré. En France, il s’agit de l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM). Ces 27 coordinateurs seront chargés de contrôler le respect du règlement DSA dans leur pays et de recevoir les plaintes à l’encontre des intermédiaires en ligne.

Le but ici est de coopérer au sein d’un “comité européen des services numériques” qui rendra des analyses, mènera des enquêtes conjointes et émettra des recommandations sur l’application de la nouvelle réglementation.

Les sanctions

En cas de non-respect du DSA, des astreintes et des sanctions pourront être prononcées.

Pour les très grandes plateformes et les très grands moteurs de recherche, la Commission pourra infliger des amendes pouvant aller jusqu’à 6% de leur chiffre d’affaires mondial.

En cas de violations graves et répétées au règlement, les plateformes pourront même se voir interdire leurs activités sur le marché européen.

Affaire à suivre…

Aude Aubry
Aude Aubry
Aude est un membre de notre équipe de rédaction, apportant une expertise de plus de 5 ans dans le domaine de la protection des données personnelles. Spécialisée en RGPD (Règlement général sur la protection des données), Aude a aidé de nombreuses entreprises et collectivités à se conformer à ces réglementations strictes et à protéger efficacement les informations sensibles. Outre son expertise en RGPD, Aude s'occupe actuellement de la mise en place de certifications ISO 27001 et HDS (Hébergement de données de santé).

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie